Monitorar e gerenciar o token de acesso pessoal

Para se autenticar na API REST da Databricks, um usuário pode criar um access token pessoal e usá-lo em sua solicitação de API REST. Este artigo explica como os administradores do workspace podem gerenciar o token de acesso pessoal em seu workspace.

Para criar um access token pessoal, consulte Autenticação access token pessoal da Databricks.

Para criar um access token pessoal em nome de uma entidade de serviço, consulte gerenciar tokens para uma entidade de serviço.

Visão geral do gerenciamento de token de acesso pessoal

access token pessoal é habilitado por default para todos workspace do Databricks.

Quando o token de acesso pessoal é ativado em um workspace, os usuários com a permissão CAN USE podem gerar um token de acesso pessoal para acessar as APIs REST da Databricks, e podem gerar esses tokens com qualquer data de validade que desejarem, incluindo uma vida útil indefinida. Em default, nenhum usuário não administrador workspace tem a permissão CAN USE, o que significa que ele não pode criar ou usar o token de acesso pessoal.

Como administrador do workspace do Databricks, você pode desabilitar tokens de acesso pessoal para um workspace, monitorar e revogar tokens, controlar quais usuários não administradores podem criar tokens e usar tokens e definir um tempo de vida máximo para novos tokens.

O gerenciamento do token de acesso pessoal em seu site workspace requer o plano Premium. Para criar um access token pessoal, consulte Autenticação access token pessoal da Databricks.

Ativar ou desativar a autenticação de token de acesso pessoal para o workspace

A autenticação access token pessoal é habilitada por default para todos workspace do Databricks. Você pode alterar essa configuração na página de configurações workspace .

Quando os tokens de acesso pessoal são desabilitados para um workspace, os tokens de acesso pessoal não podem ser usados para autenticar no Databricks e os usuários do workspace e entidades de serviço não podem criar novos tokens. Nenhum token é excluído quando você desabilita a autenticação de token de acesso pessoal para um workspace. Se os tokens forem reativados posteriormente, todos os tokens não expirados estarão disponíveis para uso.

Se quiser desabilitar o acesso tokens para um subconjunto de usuários, você pode manter a autenticação access tokens pessoal habilitada para o workspace e definir permissões refinadas para usuários e grupos. Consulte Controlar quem pode criar e usar tokens.

Aviso

O Partner Connect, as integrações de parceiros e os principais de serviços exigem que tokens de acesso pessoal sejam habilitados em um workspace.

Para desativar a capacidade de criar e usar tokens de acesso pessoal para o workspace:

  1. Ir para a página de configurações do administrador.

  2. Clique na Avançado tab.

  3. Clique na alavanca Tokens de acesso pessoal .

  4. Clique em Confirmar.

    Essa alteração pode levar alguns segundos para entrar em vigor.

O senhor também pode usar a API de configuraçãoworkspace para desativar o token de acesso pessoal para o espaço de trabalho.

Controlar quem pode criar e usar tokens

Os administradores de workspace podem definir permissões em tokens de acesso pessoal para controlar quais usuários, princípios de serviço e grupos podem criar e usar tokens. Para obter detalhes sobre como configurar permissões de token de acesso pessoal, consulte Gerenciar acesso à automação Databricks.

Definir a vida útil máxima de novos tokens

O senhor pode gerenciar o tempo de vida máximo de novos tokens no site workspace usando a CLI da Databricks. Esse limite se aplica somente a novos tokens.

Defina maxTokenLifetimeDays como o tempo máximo de vida dos novos tokens em dias, como um número inteiro. Se o senhor definir esse valor como zero, os novos tokens não poderão ter limite de tempo de vida. Por exemplo:

databricks workspace-conf set-status --json '{
  "maxTokenLifetimeDays": "90"
}'

O senhor também pode usar a API de configuraçãoworkspace para gerenciar a duração máxima dos novos tokens em um espaço de trabalho.

Monitorar e revogar tokens

Esta seção descreve como usar a CLI do Databricks para gerenciar os tokens existentes no site workspace. O senhor também pode usar a API de gerenciamento de tokens.

Obter tokens para o workspace

Para obter os tokens do workspace:

databricks token-management list

É possível filtrar os resultados por um usuário usando os sinalizadores created-by-id (para filtrar pelo ID do usuário) ou created-by-username (para filtrar pelo nome de usuário).

Por exemplo:

databricks token-management list --created-by-username user@company.com

Resposta de exemplo:

ID  Created By  Comment
token-id  user@company.com dev

Excluir (revogar) um token

Para excluir tokens, substitua tokens pelo id dos tokens a serem excluídos:

databricks token-management delete TOKEN_ID